5 motivos pelos quais sua equipe de infraestrutura adorará a microssegmentação

Many will freely grant that, in an ideal world, more and tighter segmentation will lead to better security outcomes. Unfortunately, in the real world, segmentation has been time-consuming, complex, and expensive. Application teams struggle to provide the information that infrastructure teams need, and nothing can happen until all business logic has been translated to IP addresses and checked manually. Fortunately, microsegmentation offers a better way and removes much of the operational burden of tightening segmentation controls.

Vamos considerar cinco benefícios que as equipes de infraestrutura experimentam.

1. Não há mais VLANs por motivos de segurança

A microsegmentação move o ponto de imposição da segmentação da rede para as instâncias do aplicativo. Isso significa que a política de segmentação existe independentemente de quaisquer sub-redes, VLANs ou zonas existentes. De uma perspectiva de rede pura, grandes redes planas funcionam bem, escalam perfeitamente e são simples de gerenciar. A política de segurança preferiria ter redes pequenas e fortemente restritas, que então seriam difíceis de gerenciar. A microssegmentação resolve esse impasse. Você pode ter uma segmentação refinada e uma estrutura de VLAN simples quando a segmentação não depender mais da imposição da rede.
 

2. Não há mais ACLs para gerenciar

Microsegmentation defines segmentation policy by labels and metadata, not IP addresses. Finally, no one has to manually translate between server or application names and IP addresses when writing policy! When microsegmentation abstracts policy definition away from network constructs, the entire process of policy development becomes simpler and faster. Microsegmentation policies specified in a pure allowlist model have the additional benefits of avoiding rule order considerations and of supporting policy inheritance. Taken together, a microsegmentation policy is faster, simpler, and easier than a traditional ACL while offering tighter control.
 

3. Obtenha a topologia de aplicativos para todos os aplicativos

Apesar de conter um registro de todo o tráfego, os dados do fluxo de rede não têm sido adequados para entender o comportamento do aplicativo. A microsegmentação produz um mapa de dependência do aplicativo independente da topologia de rede subjacente. Até mesmo aplicativos espalhados por vários data centers ou locais na nuvem são visualizados como uma única instância de aplicativo. Essa clareza simplifica as conversas em toda a organização, especialmente com equipes de aplicativos, DevOps e segurança que não estão preocupadas de forma nativa com a topologia da rede. Especialmente ao desenvolver uma política de segmentação, esse entendimento compartilhado simplifica as conversas de aprovação e a tomada de decisões políticas.
 

4. Segmentação automatizada

As melhores regras de segmentação podem muito bem ser aquelas que ninguém precisa escrever ou ajustar. Como a microssegmentação especifica a política em rótulos e metadados, você pode automatizar toda a política. À medida que o mecanismo de política de microssegmentação recebe chamadas de API informando sobre novos dispositivos ou alterações no endereço IP, ele recalcula e distribui automaticamente as regras de segmentação necessárias. A política de segurança será atualizada constante e continuamente. Os rótulos são facilmente incorporados aos fluxos de trabalho do DevOps para instanciação do servidor e, quando integrados, a política é automaticamente computada e ajustada para cada servidor criado ou desmontado.
 

5. Satisfaça o desejo da segurança por uma segmentação mais refinada sem problemas operacionais

Um arquiteto de segurança quase sempre prefere mais segmentação do que menos. O único desafio é que, sem a microssegmentação, uma política de segmentação mais granular tem um grande custo para as equipes de operações de infraestrutura. Quando a política de segmentação não depende mais da imposição da rede, dos endereços IP ou dos dados de fluxo derivados da rede, a carga operacional diminui drasticamente. Uma vez que as ferramentas de elaboração de políticas, a automação e a visibilidade aprimoram o projeto, até mesmo uma segmentação muito restrita pode ser realizada sem as dores de cabeça esperadas.

A segmentação com ACLs exige um esforço árduo e demorado. A microssegmentação facilita a carga de trabalho e, por meio do controle de acesso baseado em funções, permite que a carga seja distribuída entre as equipes de aplicativos, DevOps, segurança e infraestrutura. Um desejo de segmentação que poderia ter sido considerado muito caro com ACLs tradicionais se torna muito mais fácil com a microssegmentação.

Tradicionalmente, a segmentação tem sido difícil — tanto que as considerações operacionais geralmente determinam o que é viável. Mas a microssegmentação oferece a maravilhosa possibilidade de ter uma política de segmentação mais rígida e uma carga operacional mais leve. A microsegmentação remove a aplicação de políticas da rede. Ele redefine a política sem depender de endereços IP, facilita a automação de políticas e fornece ferramentas úteis de visualização e elaboração de políticas.

Juntas, uma equipe de infraestrutura pode satisfazer os colegas de trabalho de segurança que precisam solicitar uma política refinada. Na verdade, a microssegmentação oferece às equipes de infraestrutura a melhor notícia possível: você pode remover a segmentação da infraestrutura de rede.

To find out more, check out our paper on decoupling segmentation from the network infrastructure.